Pマーク、ISOコンサル現場の声 〜誰も教えない個人情報保護 3.4.1運用手順/3.4.2.1利用目的の特定 | ScanNetSecurity
2024.05.03(金)

Pマーク、ISOコンサル現場の声 〜誰も教えない個人情報保護 3.4.1運用手順/3.4.2.1利用目的の特定

プライバシーマークやISO27001などの認証取得のコンサルティング業務の一線で活躍するコンサルタントの、現場の生の声をお届けするコラムです。
(※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です)

特集 特集
facebookLINE
プライバシーマークやISO27001などの認証取得のコンサルティング業務の一線で活躍するコンサルタントの、現場の生の声をお届けするコラムです。
(※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です)

株式会社JMCリスクマネジメント
マネジメントシステムコンサルタント
浦名 祐輔
http://rm.jmc.ne.jp/service/pm/column19.html


皆さんこんにちは。今回のテーマは3.4.1運用手順/3.4.2.1利用目的の特定です。

まず、「3.4.1運用手順」の要求事項ですが、この要求事項の目的というのは、規格の本文に書いてある通り、「個人情報保護マネジメントシステムを確実に実施するため」です。そのために、運用の手順を明確にすればいいのです。

必ずしも、文書化を要求しているわけではありません。手順の内容を各担当者が認識し、日常の管理業務遂行のうえで問題なく履行されるような状態にあればいいでしょう。言い換えると、文書化しないことにより、手順が適切に実施できない恐れがあるならば、文書化した方がいいと思います。

皆様、このように規格で明文化されなくても自社のルールを定め、必要に応じて文書化することになると思いますので、特に気にする必要もないでしょう。

では、続いて「3.4.2.1利用目的の特定」の要求事項です。この要求事項は、個人情報を取得する際の要求事項ですね。内容としては規格の文言通りで、個人情報を取得するにあたり、その利用目的をできるだけ明確に特定することを要求するものです。一般的には、本人の種類ごとに理解しやすい表現で特定します。実際に、個人情報の利用目的を特定する際、「どこまで具体性を持たせた書き方をすれば良いのか?」というのが、担当者の方のよくある悩みだと思います。

経済産業省のガイドラインを見てみると、本件に関して以下のような指針が示されています。

================
利用目的の特定にあたっては、利用目的を単に抽象的、一般的に特定するのではなく、個人情報取扱い事業者において最終的にどのような目的で個人情報を利用するのかを可能な限り具体的に特定する必要がある。

【具体的に利用目的を特定している事例】
・○○事業における商品の発送、関連するアフターサービス、新商品、サービスに関する情報のお知らせのために利用致します。
・ご記入頂いた氏名、住所、電話番号は、名簿として販売することがあります。
・給与計算処理サービス、宛名印刷サービス、伝票の印刷、発送サービス等の情報処理サービス業として行うために、委託された個人情報を取り扱います。

【具体的に利用目的を特定していない事例】
・事業活動に用いるため
・提供するサービス向上のため
・マーケティング活動に用いるため
================

自社の規程を作るにあたり、具体性でお困りのようでしたら、上記の事例を参考に、自社の利用目的を定めればよろしいかと思います。

なお、プライバシーマークの現地審査において、利用目的が抽象的、一般的という理由により指摘を受けている例もあります。では、“どこまで書けば具体的か”…

【執筆:浦名祐輔】

※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です。コラムの全文は、同社下記情報サイトから利用可能です。
http://rm.jmc.ne.jp/service/pm/column19.html

《ScanNetSecurity》

PageTop

アクセスランキング

  1. ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

    ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

  2. クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

    クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

  3. 信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

    信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

  4. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  5. 「味市春香なごみオンラインショップ」に不正アクセス、16,407件のカード情報が漏えい

    「味市春香なごみオンラインショップ」に不正アクセス、16,407件のカード情報が漏えい

  6. 2023年「業務外利用・不正持出」前年 2 倍以上増加 ~ デジタルアーツ調査

    2023年「業務外利用・不正持出」前年 2 倍以上増加 ~ デジタルアーツ調査

  7. SECON 2024 レポート:最先端のサイバーフィジカルシステムを体感

    SECON 2024 レポート:最先端のサイバーフィジカルシステムを体感

  8. 「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

    「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

  9. クラウド型データ管理システム「ハイクワークス」のユーザー情報に第三者がアクセス可能な状態に

    クラウド型データ管理システム「ハイクワークス」のユーザー情報に第三者がアクセス可能な状態に

  10. 山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

    山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

ランキングをもっと見る
ホーム 特集 特集 記事
TOP